s0378-poshc2 - RunkIntel

# PoshC2 > Tipo: **tool** · S0378 · [MITRE ATT&CK](https://attack.mitre.org/software/S0378) ## Descrição [[s0378-poshc2|PoshC2]] é um framework de comando e controle (C2) open source desenvolvido pela Nettitude, disponível públicamente no GitHub e projetado para operações de red team. Os componentes de servidor são escritos em Python, enquanto os implants são implementados em PowerShell (Windows), C# e Python (multiplataforma). O framework oferece uma interface web para gestão de implants, módulos de pós-exploração e integração com ferramentas como [[mimikatz|Mimikatz]] e [[s1071-rubeus|Rubeus]]. Em operações maliciosas, grupos patrocinados pelo Estado como [[g0064-apt33|APT33]] (Irã), [[g0034-sandworm|Sandworm Team]] (Rússia) e [[g1001-hexane|HEXANE]] utilizaram PoshC2 como framework C2 por suas capacidades de evasão de antivírus e facilidade de customização. O PoshC2 implementa comúnicações via HTTP/HTTPS com perfis de tráfego configuráveis que imitam tráfego legítimo, suporte a proxies e LLMNR/NBT-NS poisoning via [[s0174-responder|Responder]] integrado. Suas capacidades de UAC bypass, WMI persistence e keylogging o tornam adequado para operações de espionagem prolongadas. A utilização de um framework de red team públicamente conhecido por grupos de APT é uma tática deliberada para criar "plausible deniability" na atribuição. A detecção de PoshC2 requer identificação de padrões de beaconing característicos, presença de DLLs específicas do framework e execução de módulos PowerShell com nomes ou comportamentos conhecidos. **Plataformas:** Windows, Linux, macOS ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - [[t1557-001-llmnrnbt-ns-poisoning-and-smb-relay|T1557.001 - LLMNR/NBT-NS Poisoning and SMB Relay]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1134-002-create-process-with-token|T1134.002 - Creaté Process with Token]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] ## Grupos que Usam - [[g0064-apt33|APT33]] - [[g0034-sandworm|Sandworm Team]] - [[g1001-hexane|HEXANE]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 3 (NetworkConnect):** Beaconing HTTP/HTTPS periódico (default 5s, configurável) para IPs/domínios de C2 - identificar por frequência e padrão de User-Agent customizado do PoshC2 - **Sysmon Event ID 1 (ProcessCreaté):** PowerShell com `-EncodedCommand` ou `-ExecutionPolicy Bypass` executando stagers do PoshC2; buscar por InvokeExpression com download de scripts - **Windows Security Event ID 4104 (PowerShell Script Block Logging):** Conteúdo de scripts com funções características do PoshC2 como `Invoke-PoshC2`, `Get-ImplantWorkingDirectory` **Regras de detecção:** - Sigma: `proc_creation_win_powershell_poshc2.yml` - detecta execução de stagers e módulos PoshC2 (SigmaHQ) - YARA: Strings características de DLLs e executáveis PoshC2 - referências ao repositório GitHub oficial - Network: Detecção de User-Agent padrão do PoshC2 em logs de proxy web ## Relevância LATAM/Brasil [[g0064-apt33|APT33]] (Refined Kitten, Irã) utiliza PoshC2 em campanhas de espionagem e sabotagem que podem afetar empresas de energia, petroquímica e aviação no Brasil - setores nos quais o Irã tem demonstrado interesse estratégico. O [[g0034-sandworm|Sandworm Team]] (Rússia) também empregou PoshC2 em operações destrutivas na Europa, com potencial de atingir subsidiárias ou parceiros de empresas europeias no Brasil. Times de SOC brasileiros devem incluir indicadores de PoshC2 em suas plataformas de threat intelligence e hunting. ## Referências - [MITRE ATT&CK - S0378](https://attack.mitre.org/software/S0378)